Konfigurowanie łącznika certyfikatów usługi Intune dla platformy infrastruktury kluczy publicznych firmy DigiCertSet up Intune Certificate Connector for DigiCert PKI Platform

Łącznik certyfikatów usługi Intune umożliwia wystawianie certyfikatów PKCS przy użyciu platformy PKI firmy DigiCert dla urządzeń zarządzanych przez usługę Intune.Use Intune Certificate Connector to issue PKCS certificates from DigiCert PKI Platform to Intune-managed devices. Łącznika można używać tylko z urzędem certyfikacji firmy DigiCert lub zarówno z urzędem certyfikacji firmy DigiCert, jak i urzędem certyfikacji firmy Microsoft.You can use the connector with only a DigiCert certification authority (CA), or with both a DigiCert CA and a Microsoft CA.

Porada

Firma DigiCert przejęła od firmy Symantec rozwiązania w zakresie zabezpieczania witryn internetowych oraz infrastruktury kluczy publicznych.DigiCert acquired Symantec's Website Security and related PKI Solutions business. Aby uzyskać więcej informacji na temat tej zmiany, zobacz odpowiedni artykuł dotyczący pomocy technicznej firmy Symantec.For more information about this change, see the Symantec technical support article.

Jeśli łącznik certyfikatów usługi Intune jest już używany do wystawiania certyfikatów z urzędu certyfikacji firmy Microsoft przy użyciu protokołu PKCS lub SCEP (Simple Certificate Enrollment Protocol), można użyć tego samego łącznika do konfigurowania i wystawiania certyfikatów PKCS z urzędu certyfikacji firmy DigiCert.If you already use the Intune Certificate Connector to issue certificates from a Microsoft CA by using PKCS or Simple Certificate Enrollment Protocol (SCEP), you can use that same connector to configure and issue PKCS certificates from a DigiCert CA. Po zakończeniu konfiguracji w celu obsługi urzędu certyfikacji DigiCert łącznik certyfikatów usługi Intune może wydać następujące certyfikaty:After you complete the configuration to support the DigiCert CA, Intune Certificate Connector can issue the following certificates:

  • Certyfikaty PKCS z urzędu certyfikacji firmy MicrosoftPKCS certificates from a Microsoft CA
  • Certyfikaty PKCS z urzędu certyfikacji firmy DigiCertPKCS certificates from a DigiCert CA
  • Certyfikaty programu Endpoint Protection z urzędu certyfikacji firmy MicrosoftEndpoint Protection certificates from a Microsoft CA

Jeśli nie masz zainstalowanego łącznika, ale planujesz użyć go zarówno dla urzędu certyfikacji firmy Microsoft, jak i urzędu certyfikacji firmy DigiCert, najpierw wykonaj konfigurację łącznika dla urzędu certyfikacji firmy Microsoft.If you don't have the connector installed but plan to use it for both a Microsoft CA and a DigiCert CA, complete the connector configuration for the Microsoft CA first. Następnie wróć do tego artykułu, aby skonfigurować łącznik do obsługi firmy DigiCert.Then, return to this article to configure it to also support DigiCert. Aby uzyskać więcej informacji o profilach certyfikatów i łączniku, zobacz Konfigurowanie profilu certyfikatu dla urządzeń w usłudze Microsoft Intune.For more information about certificate profiles and the connector, see Configure a certificate profile for your devices in Microsoft Intune.

Jeśli będziesz używać użyjesz łącznika z tylko urzędem certyfikacji firmy DigiCert, możesz skorzystać z instrukcji przedstawionych w tym artykule, aby zainstalować, a następnie skonfigurować łącznik.If you'll use the connector with only the DigiCert CA, you can use the instructions in this article to install and then configure the connector.

Wymagania wstępnePrerequisites

  • Aktywna subskrypcja w urzędzie certyfikacji DigiCert: subskrypcja jest wymagana do uzyskania certyfikatu urzędu rejestrowania z urzędu certyfikacji firmy DigiCert.An active subscription at the DigiCert CA: The subscription is required to get a registration authority (RA) certificate from the DigiCert CA.
  • Łącznik certyfikatów usługi Microsoft Intune ma te same wymagania dotyczące sieci co urządzenia zarządzane.The Microsoft Intune Certificate Connector has the same network requirements as managed devices.

Instalowanie certyfikatu urzędu rejestrowania firmy DigiCertInstall the DigiCert RA certificate

  1. Zapisz następujący fragment kodu w pliku o nazwie certreq.ini i zaktualizuj go zgodnie z potrzebami (na przykład: Subject name in CN format (Nazwa podmiotu w formacie CN).Save the following code snippet as in a file named certreq.ini and update it as required (for example: Subject name in CN format).

    [Version] 
    Signature="$Windows NT$" 
    
    [NewRequest] 
    ;Change to your,country code, company name and common name 
    Subject = "Subject Name in CN format"
    
    KeySpec = 1 
    KeyLength = 2048 
    Exportable = TRUE 
    MachineKeySet = TRUE 
    SMIME = False 
    PrivateKeyArchive = FALSE 
    UserProtected = FALSE 
    UseExistingKeySet = FALSE 
    ProviderName = "Microsoft RSA SChannel Cryptographic Provider" 
    ProviderType = 12 
    RequestType = PKCS10 
    KeyUsage = 0xa0 
    
    [EnhancedKeyUsageExtension] 
    OID=1.3.6.1.5.5.7.3.2 ; Client Authentication  // Uncomment if you need a mutual TLS authentication
    
    ;----------------------------------------------- 
    
  2. Otwórz wiersz polecenia z podwyższonym poziomem uprawnień i wygeneruj żądanie podpisania certyfikatu (CSR) przy użyciu następującego polecenia:Open an elevated command prompt and generate a certificate signing request (CSR) by using the following command:

    Certreq.exe -new certreq.ini request.csr

  3. Otwórz plik request.csr w programie Notatnik i skopiuj zawartość żądania CSR w następującym formacie:Open the request.csr file in Notepad and copy the CSR content that's in the following format:

    -----BEGIN NEW CERTIFICATE REQUEST-----
    MIID8TCCAtkCAQAwbTEMMAoGA1UEBhMDVVNBMQswCQYDVQQIDAJXQTEQMA4GA1UE
    …
    …
    fzpeAWo=
    -----END NEW CERTIFICATE REQUEST-----
    
  4. Zaloguj się do urzędu certyfikacji DigiCert i przejdź do zadania Get an RA Cert (Uzyskaj certyfikat RA).Sign in to the DigiCert CA and browse to Get an RA Cert from the tasks.

    a.a. Wklej zawartość żądania CSR uzyskaną w kroku 3 w polu tekstowym.In the text box, provide the CSR content from step 3.

    b.b. Podaj przyjazną nazwę certyfikatu.Provide a friendly name for the certificate.

    c.c. Wybierz pozycję Continue (Kontynuuj).Select Continue.

    d.d. Użyj podanego linku, aby pobrać certyfikat urzędu rejestrowania na komputer lokalny.Use the provided link to download the RA certificate to your local computer.

  5. Zaimportuj certyfikat urzędu rejestrowania do magazynu certyfikatów systemu Windows:Import the RA certificate into the Windows Certificate store:

    a.a. Otwórz konsolę MMC.Open an MMC console.

    b.b. Wybierz kolejno opcje Plik > Dodawanie lub usuwanie przystawek > Certyfikat > Dodaj.Select File > Add or Remove Snap-ins > Certificate > Add.

    c.c. Wybierz kolejno opcje Konto komputera > Dalej.Select Computer Account > Next.

    d.d. Wybierz kolejno opcje Komputer lokalny > Zakończ.Select Local Computer > Finish.

    e.e. W oknie dialogowym Dodawanie lub usuwanie przystawek wybierz przycisk OK.Select OK in the Add or Remove Snap-ins window. Rozwiń węzeł Certyfikaty (Komputer lokalny) > Osobiste > Certyfikaty.Expand Certificates (Local Computer) > Personal > Certificates.

    f.f. Kliknij prawym przyciskiem myszy węzeł Certyfikaty, a następnie wybierz kolejno opcje Wszystkie zadania > Importuj.Right-click the Certificates node and select All Tasks > Import.

    g.g. Wybierz lokalizację certyfikatu urzędu rejestrowania pobranego z urzędu certyfikacji firmy DigiCert i wybierz przycisk Dalej.Select the location of the RA certificate that you downloaded from the DigiCert CA, and then select Next.

    h.h. Wybierz kolejno opcje Osobisty magazyn certyfikatów > Dalej.Select Personal Certificate Store > Next.

    i.i. Wybierz pozycję Zakończ, aby zaimportować certyfikat urzędu rejestrowania wraz z kluczem prywatnym do magazynu Komputer lokalny-Osobiste.Select Finish to import the RA certificate and its private key into the Local Machine-Personal store.

  6. Wyeksportuj i zaimportuj certyfikat klucza prywatnego:Export and import the private key certificate:

    a.a. Rozwiń węzeł Certyfikaty (Komputer lokalny) > Osobiste > Certyfikaty.Expand Certificates (Local Machine) > Personal > Certificates.

    b.b. Wybierz certyfikat, który został zaimportowany w poprzednim kroku.Select the certificate that was imported in the previous step.

    c.c. Kliknij prawym przyciskiem myszy certyfikat i wybierz kolejno pozycje Wszystkie zadania > Eksportuj.Right-click the certificate and select All Tasks > Export.

    d.d. Wybierz pozycję Dalej, a następnie wprowadź hasło.Select Next, and then enter the password.

    e.e. Wybierz lokalizację eksportu i wybierz pozycję Zakończ.Select the location to export to, and then select Finish.

    f.f. Wykonaj tę samą procedurę od kroku 5, aby zaimportować certyfikat klucza prywatnego do magazynu Komputer lokalny-Osobiste.Use the procedure from step 5 to import the private key certificate into the Local Computer-Personal store.

    g.g. Zarejestruj kopię odcisku palca certyfikatu urzędu rejestrowania bez żadnych spacji.Record a copy the RA certificate thumbprint without any spaces. Poniżej przedstawiono przykładowy odcisk palca:The following is an example of the thumbprint:

    RA Cert Thumbprint: "EA7A4E0CD1A4F81CF0740527C31A57F6020C17C5"

    Uwaga

    Aby uzyskać pomoc dotyczącą uzyskiwania certyfikatu urzędu rejestrowania z urzędu certyfikacji DigiCert, skontaktuj się z działem obsługi klienta firmy DigiCert.For assistance in getting the RA certificate from the DigiCert CA, contact DigiCert customer support.

Przygotowanie do instalacji łącznika certyfikatów usługi IntunePrepare to install Intune Certificate Connector

Porada

Ta sekcja ma zastosowanie w przypadku używania łącznika certyfikatów usługi Intune z tylko urzędem certyfikacji DigiCert.This section applies if you'll use Intune Certificate Connector with only a DigiCert CA. Jeśli używasz łącznika certyfikatów usługi Intune z urzędem certyfikacji firmy Microsoft i chcesz dodać obsługę urzędu certyfikacji DigiCert, przejdź do sekcji Konfigurowanie łącznika do obsługi urzędu certyfikacji DigiCert.If you use Intune Certificate Connector with a Microsoft CA and want to add DigiCert CA support, skip ahead to Configure the connector to support DigiCert.

  1. Wybierz jedną z wersji systemu operacyjnego Windows z listy poniżej i zainstaluj ją na komputerze:Choose one of the Windows operating system versions from the following list and install it on a computer:

    • Windows Server 2012 R2 DatacenterWindows Server 2012 R2 Datacenter
    • Windows Server 2012 R2 StandardWindows Server 2012 R2 Standard
    • Windows Server 2016 DatacenterWindows Server 2016 Datacenter
    • Windows Server 2016 StandardWindows Server 2016 Standard
  2. Utwórz użytkownika z uprawnieniami administracyjnymi i za jego pomocą wykonaj czynności podane poniżej.Create a user with administrative privileges and use it to complete the following steps.

  3. Sprawdź najnowsze aktualizacje systemu Windows, po czym zainstaluj je, jeśli są dostępne.Check for the latest Windows updates and install them if available. Po zainstalowaniu aktualizacji systemu Windows uruchom ponownie komputer.After you install Windows updates, restart the computer.

  4. Zainstaluj program .NET Framework 3.5:Install .NET Framework 3.5:

    a.a. Wybierz kolejno opcje Panel sterowania > Programy i funkcje > Włącz lub wyłącz funkcje systemu Windows.Open Control Panel > Programs and Features > Turn Windows features on or off.

    b.b. Wybierz pozycję .NET Framework 3.5 i zainstaluj program.Select .NET Framework 3.5 and install it.

Instalowanie łącznika certyfikatów usługi Intune do obsługi urzędu certyfikacji DigiCertInstall Intune Certificate Connector for use with DigiCert

Porada

Jeśli używasz łącznika certyfikatów usługi Intune z urzędem certyfikacji firmy Microsoft i chcesz dodać obsługę urzędu certyfikacji DigiCert, przejdź do sekcji Konfigurowanie łącznika do obsługi urzędu certyfikacji DigiCert.If you use the Intune Certificate Connector with a Microsoft CA and want to add DigiCert CA support, skip ahead to Configure the connector to support DigiCert.

Pobierz najnowszy łącznik certyfikatów usługi Intune z portalu administracyjnego usługi Intune i wykonaj poniższe instrukcje.Download the latest Intune Certificate Connector version from the Intune administration portal and follow these instructions.

  1. Zaloguj się do centrum administracyjnego programu Microsoft Endpoint Manager.Sign in to the Microsoft Endpoint Manager admin center.

  2. Wybierz pozycję Administracja dzierżawą > Łączniki i tokeny > Łączniki certyfikatu > + Dodaj.Select Tenant administration > Connectors and tokens > Certificate connectors > + Add.

  3. Kliknij pozycję Pobierz oprogramowanie łącznika certyfikatów dla łącznika standardów PKCS #12, a następnie zapisz plik łącznika w lokalizacji dostępnej z serwera, na którym ma zostać zainstalowany łącznik.Click Download the certificate connector software for the connector for PKCS #12, and save the file to a location you can access from the server where you're going to install the connector.

    Pobieranie oprogramowania łącznika

  4. Na serwerze, na którym chcesz zainstalować łącznik, uruchom plik NDESConnectorSetup.exe z podwyższonym poziomem uprawnień.On the server where you want to install the connector, run NDESConnectorSetup.exe with elevated privileges.

  5. Na stronie Opcje instalacji wybierz pozycję Dystrybucja PFX.On the Installation Options page, select PFX Distribution.

    Wybieranie pozycji Dystrybucja PFX

    Ważne

    Jeśli chcesz skonfigurować łącznik certyfikatów usługi Intune do wystawiania certyfikatów z urzędu certyfikacji firmy Microsoft oraz urzędu certyfikacji firmy DigiCert, wybierz pozycję Dystrybucja profilów SCEP i PFX.If you'll use the Intune Certificate Connector to issue certificates from a Microsoft CA and a DigiCert CA, select SCEP and PFX Profile Distribution.

  6. Użyj opcji domyślnych, aby ukończyć konfigurowanie łącznika.Use the default selections to finish setting up the connector.

Konfigurowanie łącznika do obsługi urzędu certyfikacji DigiCertConfigure the connector to support DigiCert

Domyślnie łącznik certyfikatów usługi Intune jest instalowany w ścieżce %ProgramFiles%\Microsoft Intune\NDESConnectorSvc.By default, Intune Certificate Connector is installed in %ProgramFiles%\Microsoft Intune\NDESConnectorSvc.

  1. W folderze NDESConnectorSvc otwórz plik NDESConnector.exe.config w Notatniku.In the NDESConnectorSvc folder, open the NDESConnector.exe.config file in Notepad.

    a.a. Zaktualizuj wartość klucza RACertThumbprint do wartości odcisku palca certyfikatu skopiowanej w poprzedniej sekcji.Update the RACertThumbprint key value with the certificate thumbprint value that you copied in the previous section. Przykład:For example:

    <add key="RACertThumbprint"
    value="EA7A4E0CD1A4F81CF0740527C31A57F6020C17C5"/>
    

    b.b. Zapisz i zamknij plik.Save and close the file.

  2. Otwórz plik services.msc:Open services.msc:

    a.a. Wybierz opcję Usługa łącznika usługi Intune.Select Intune Connector Service.

    b.b. Zatrzymaj usługę, a następnie uruchom usługę.Stop the service and then start the service.

    c.c. Zamknij okno usługi.Close the service's window.

Konfigurowanie konta administratora usługi IntuneSet up the Intune administrator account

Porada

Jeśli używasz łącznika certyfikatów usługi Intune z urzędem certyfikacji firmy Microsoft i chcesz dodać obsługę urzędu certyfikacji DigiCert, przejdź do sekcji Tworzenie profilu zaufanego certyfikatu.If you use Intune Certificate Connector with a Microsoft CA and want to add DigiCert CA support, skip ahead to Create a trusted certificate profile.

  1. Otwórz interfejs użytkownika łącznika usługi NDES z pliku %ProgramFiles%\Microsoft Intune\NDESConnectorUI\NDESConnectorUI.exe.Open the NDES Connector user interface from %ProgramFiles%\Microsoft Intune\NDESConnectorUI\NDESConnectorUI.exe.

  2. Na karcie Rejestracja wybierz pozycję Zaloguj się.On the Enrollment tab, select Sign In.

  3. Podaj poświadczenia administratora dzierżawy usługi Intune.Provide your Intune tenant admin credentials.

  4. Wybierz pozycję Zaloguj się, a następnie wybierz pozycję OK, aby potwierdzić pomyślną rejestrację.Select Sign In, and then select OK to confirm a successful enrollment. Zamknij interfejs użytkownika łącznika usługi NDES.You can then close the NDES Connector user interface.

    Interfejs łącznika usługi NDES z komunikatem o pomyślnym zarejestrowaniu

Tworzenie profilu zaufanego certyfikatuCreate a trusted certificate profile

Certyfikaty PKCS wdrożone dla urządzeń zarządzanych przez usługę Intune muszą być powiązane przy użyciu zaufanego certyfikatu głównego.The PKCS certificates you'll deploy for Intune managed devices must be chained with a trusted root certificate. Aby ustanowić ten łańcuch, utwórz profil zaufanego certyfikatu usługi Intune z certyfikatem głównym z urzędu certyfikacji DigiCert i wdróż profil zaufanego certyfikatu oraz profil certyfikatu PKCS w tych samych grupach.To establish this chain, create an Intune trusted certificate profile with the root certificate from the DigiCert CA, and deploy both the trusted certificate profile and the PKCS certificate profile to the same groups.

  1. Pobierz zaufany certyfikat główny z urzędu certyfikacji firmy DigiCert:Get a trusted root certificate from the DigiCert CA:

    a.a. Zaloguj się do portalu administracyjnego urzędu certyfikacji DigiCert.Sign in to the DigiCert CA admin portal.

    b.b. Wybierz pozycję Manage CAs (Zarządzaj urzędami certyfikacji) w obszarze Tasks (Zadania).Select Manage CAs from Tasks.

    c.c. Wybierz z listy odpowiedni urząd certyfikacji.Select the appropriate CA from the list.

    d.d. Kliknij opcję Download root certificate (Pobierz certyfikat główny), aby pobrać zaufany certyfikat główny.Select Download root certificate to download the trusted root certificate.

  2. Utwórz profil zaufanego certyfikatu w portalu usługi Intune:Create a trusted certificate profile in the Intune portal:

    a.a. Zaloguj się do centrum administracyjnego programu Microsoft Endpoint Manager.Sign in to the Microsoft Endpoint Manager admin center.

    b.b. Wybierz pozycję Urządzenia > Profile konfiguracji > Utwórz profil.Select Devices > Configuration profiles > Create profile.

    c.c. Wprowadź następujące właściwości:Enter the following properties:

    • Nazwa profiluName for the profile
    • Opcjonalnie ustaw opisOptionally set a Description
    • Platforma, na której ma być wdrożony profilPlatform to deploy the profile to
    • Ustaw wartość pola Typ profilu na Zaufany certyfikatSet Profile type to Trusted certificate

    d.d. Wybierz pozycję Ustawienia, a następnie przejdź do pliku CER certyfikatu zaufanego głównego urzędu certyfikacji, który został wyeksportowany do użycia z tym profilem certyfikatu, i wybierz przycisk OK.Select Settings, and then browse to the trusted root CA certificate .cer file you exported for use with this certificate profile, and then select OK.

    e.e. Dotyczy wyłącznie urządzeń z systemem Windows 8.1 i Windows 10: wybierz dla zaufanego certyfikatu magazyn docelowy spośród wymienionych poniżej:For Windows 8.1 and Windows 10 devices only, select the Destination Store for the trusted certificate from:

    • Magazyn certyfikatów komputera — głównyComputer certificate store - Root
    • Magazyn certyfikatów komputera — pośredniComputer certificate store - Intermediate
    • Magazyn certyfikatów użytkownika — pośredniUser certificate store - Intermediate

    f.f. Gdy skończysz, wybierz opcję OK, wróć do okienka Tworzenie profilu i wybierz pozycję Utwórz.When you're done, select OK, go back to the Create profile pane, and select Create.

Profil zostanie wyświetlony na liście profilów w okienku Konfiguracja urządzenia — Profile z typem profilu Certyfikat zaufany.The profile appears in the list of profiles in the Device configuration – Profiles pane, with a profile type of Trusted certificate. Przypisz ten profil do urządzeń, które będą otrzymywały certyfikaty.Be sure to assign this profile to devices that will receive certificates. Aby przypisać profil do grup, zobacz Przypisywanie profilów urządzeń.To assign the profile to groups, see Assign device profiles.

Pobieranie identyfikatora OID profilu certyfikatuGet the certificate profile OID

Identyfikator OID profilu certyfikatu jest skojarzony z szablonem profilu certyfikatu w urzędzie certyfikacji firmy DigiCert.The certificate profile OID is associated with a certificate profile template in the DigiCert CA. Aby utworzyć profil certyfikatu PKCS w usłudze Intune, należy podać nazwę szablonu certyfikatu w formie identyfikatora OID profilu certyfikatu, który jest skojarzony z szablonem certyfikatu w urzędzie certyfikacji firmy DigiCert.To create a PKCS certificate profile in Intune, the certificate template name must be in the form of a certificate profile OID that is associated with a certificate template in the DigiCert CA.

  1. Zaloguj się do portalu administracyjnego urzędu certyfikacji DigiCert.Sign in to the DigiCert CA admin portal.

  2. Kliknij pozycję Manage Certificate Profiles (Zarządzaj profilami certyfikatów).Select Manage Certificate Profiles.

  3. Wybierz profil certyfikatu, którego chcesz użyć.Select the certificate profile that you want to use.

  4. Skopiuj identyfikator OID profilu certyfikatu.Copy the certificate profile OID. Będzie on podobny do poniższego przykładu:It looks similar to the following example:

    Certificate Profile OID = 2.16.840.1.113733.1.16.1.2.3.1.1.47196109

Uwaga

Jeśli potrzebujesz pomocy w celu uzyskania identyfikatora OID profilu certyfikatu, skontaktuj się z obsługą klienta firmy DigiCert.If you need help to get the certificate profile OID, contact DigiCert customer support.

Tworzenie profilu certyfikatu PKCSCreate a PKCS certificate profile

  1. Zaloguj się do centrum administracyjnego programu Microsoft Endpoint Manager.Sign in to the Microsoft Endpoint Manager admin center.

  2. Wybierz pozycję Urządzenia > Profile konfiguracji > Utwórz profil.Select Devices > Configuration profiles > Create profile.

  3. Wprowadź następujące właściwości:Enter the following properties:

    • Nazwa profiluName for the profile
    • Opcjonalnie ustaw opisOptionally set a Description
    • Platforma, na której ma być wdrożony profilPlatform to deploy the profile to
    • Ustaw wartość pola Typ profilu na Certyfikat PKCSSet Profile type to PKCS certificate
  4. W okienku Certyfikat PKCS skonfiguruj parametry, korzystając z wartości z poniższej tabeli.In the PKCS Certificate pane, configure parameters with the values from the following table. Te wartości są wymagane do wystawiania certyfikatów PKCS z urzędu certyfikacji DigiCert za pośrednictwem łącznika certyfikatów usługi Intune.These values are required to issue PKCS certificates from a DigiCert CA, through Intune Certificate Connector.

    Parametr certyfikatu PKCSPKCS certificate parameter WartośćValue OpisDescription
    Urząd certyfikacjiCertificate authority pki-ws.symauth.compki-ws.symauth.com Ta wartość musi być nazwą FQDN usługi podstawowej urzędu certyfikacji firmy DigiCert bez końcowych ukośników.This value must be the DigiCert CA base service FQDN without trailing slashes. Jeśli nie masz pewności, czy jest to prawidłowa nazwa FQDN usługi podstawowej dla Twojej subskrypcji urzędu certyfikacji firmy DigiCert, skontaktuj się z pomocą techniczną tej firmy.If you aren't sure whether this is the correct base service FQDN for your DigiCert CA subscription, contact DigiCert customer support.

    Po zmianie z Symantec na DigiCert ten adres URL pozostaje niezmieniony.With the change from Symantec to DigiCert, this URL remains unchanged.

    Jeśli ta nazwa FQDN będzie niepoprawna, łącznik certyfikatów usługi Intune nie będzie wystawiać certyfikatów PKCS z urzędu certyfikacji firmy DigiCert.If this FQDN is incorrect, Intune Certificate Connector won't issue PKCS certificates from the DigiCert CA.
    Nazwa urzędu certyfikacjiCertificate authority name SymantecSymantec Ta wartość musi być ciągiem Symantec.This value must be the string Symantec.

    Jeśli ta wartość zostanie zmieniona, łącznik certyfikatów usługi Intune nie będzie wystawiać certyfikatów PKCS z urzędu certyfikacji firmy DigiCert.If there's any change to this value, Intune Certificate Connector won't issue PKCS certificates from the DigiCert CA.
    Nazwa szablonu certyfikatuCertificate template name Identyfikator OID profilu certyfikatu z urzędu certyfikacji firmy DigiCert.Certificate profile OID from the DigiCert CA. Przykład: 2.16.840.1.113733.1.16.1.2.3.1.1.61904612For example: 2.16.840.1.113733.1.16.1.2.3.1.1.61904612 Tą wartością musi być identyfikator OID profilu certyfikatu uzyskany w poprzedniej sekcji z szablonu profilu certyfikatu urzędu certyfikacji firmy DigiCert.This value must be a certificate profile OID obtained in the previous section from the DigiCert CA certificate profile template.

    Jeśli łącznik certyfikatów usługi Intune nie będzie mógł odnaleźć szablonu certyfikatu skojarzonego z tym identyfikatorem OID profilu certyfikatu w urzędzie certyfikacji firmy DigiCert, nie będzie wystawiać certyfikatów PKCS z urzędu certyfikacji firmy DigiCert.If Intune Certificate Connector can't find a certificate template associated with this certificate profile OID in the DigiCert CA, it won't issue PKCS certificates from the DigiCert CA.

    Opcje wyboru urzędu certyfikacji i szablonu certyfikatu

    Uwaga

    Profil certyfikatu PKCS dla platform systemu Windows nie musi być skojarzony z profilem zaufanego certyfikatu.The PKCS certificate profile for Windows platforms doesn't need to associate with a trusted certificate profile. Jest to jednak wymagane dla profilów platform innych niż system Windows, np. dla systemu Android.But it is required for non-Windows platform profiles such as Android.

  5. Skonfiguruj profil tak, aby zaspokajał Twoje potrzeby biznesowe, a następnie wybierz przycisk Utwórz, aby go zapisać.Complete the configuration of the profile to meet your business needs, and then select Create to save the profile.

  6. Na stronie przeglądu nowego profilu wybierz pozycję Przypisania i skonfiguruj odpowiednią grupę, która będzie otrzymywać ten profil.On the Overview page of the new profile, select Assignments and configure an appropriate group that will receive this profile. Do przypisanej grupy musi należeć co najmniej jeden użytkownik lub jedno urządzenie.At least one user or device must be part of the assigned group.

Po wykonaniu poprzednich kroków łącznik certyfikatów usługi Intune będzie wystawiać certyfikaty PKCS z urzędu certyfikacji firmy DigiCert dla urządzeń zarządzanych przez usługę Intune w przypisanej grupie.After you complete the previous steps, Intune Certificate Connector will issue PKCS certificates from the DigiCert CA to Intune-managed devices in the assigned group. Te certyfikaty będą dostępne w magazynie osobistym magazynu certyfikatów bieżącego użytkownika na urządzeniu zarządzanym przez usługę Intune.These certificates will be available in the Personal store of the Current User certificate store on the Intune-managed device.

Obsługiwane atrybuty profilu certyfikatu PKCSSupported attributes for the PKCS certificate profile

AtrybutAttribute Formaty obsługiwane przez usługę IntuneIntune supported formats Formaty obsługiwane przez urząd certyfikacji w chmurze firmy DigiCertDigiCert Cloud CA supported formats resultresult
Nazwa podmiotuSubject name Usługa Intune obsługuje nazwę podmiotu tylko w trzech formatach podanych poniżej:Intune supports the subject name in following three formats only:

1. Nazwa pospolita1. Common name
2. Nazwa pospolita zawierająca adres e-mail2. Common name that includes email
3. Nazwa pospolita będąca adresem e-mail3. Common name as email

Przykład:For example:

CN = IWUser0 <br><br> E = IWUser0@samplendes.onmicrosoft.com
Urząd certyfikacji DigiCert obsługuje więcej atrybutów.The DigiCert CA supports more attributes. Jeśli chcesz wybrać dodatkowe atrybuty, muszą one zostać zdefiniowane przy użyciu stałych wartości w szablonie profilu certyfikatu firmy DigiCert.If you want to select more attributes, they must be defined with fixed values in the DigiCert certificate profile template. Używamy nazwy pospolitej lub adresu e-mail z żądania certyfikatu PKCS.We use common name or email from the PKCS certificate request.

Wszelkie niezgodności w wyborze atrybutów występujące między profilem certyfikatu usługi Intune i szablonem profilu certyfikatu firmy DigiCert powodują, że urząd certyfikacji firmy DigiCert nie wystawia żadnych certyfikatów.Any mismatch in attribute selection between the Intune certificate profile and the DigiCert certificate profile template results in no certificates issued from the DigiCert CA.
SANSAN Usługa Intune obsługuje tylko następujące wartości pola SAN:Intune supports only the following SAN field values:

AltNameTypeEmailAltNameTypeEmail
AltNameTypeUpnAltNameTypeUpn
AltNameTypeOtherName (wartość zakodowana)AltNameTypeOtherName (encoded value)
Urząd certyfikacji w chmurze firmy DigiCert również obsługuje te parametry.The DigiCert Cloud CA also supports these parameters. Jeśli chcesz wybrać dodatkowe atrybuty, muszą one zostać zdefiniowane przy użyciu stałych wartości w szablonie profilu certyfikatu firmy DigiCert.If you want to select more attributes, they must be defined with fixed values in the DigiCert certificate profile template.

AltNameTypeEmail: jeśli ten typ nie zostanie odnaleziony w nazwie SAN, łącznik certyfikatów usługi Intune używa wartości typu AltNameTypeUpn.AltNameTypeEmail: If this type isn't found in the SAN, Intune Certificate Connector uses the value from AltNameTypeUpn. Jeśli typ AltNameTypeUpn również nie zostanie odnaleziony w nazwie SAN, łącznik certyfikatów usługi Intune używa wartości nazwy podmiotu, o ile jest ona w formacie adresu e-mail.If AltNameTypeUpn is also not found in the SAN, then Intune Certificate Connector uses the value from the subject name if it's in email format. Jeśli typ nadal nie zostanie odnaleziony, łącznik certyfikatów usługi Intune nie będzie mógł wystawiać certyfikatów.If the type is still not found, Intune Certificate Connector fails to issue the certificates.

Przykład: RFC822 Name=IWUser0@ndesvenkatb.onmicrosoft.comExample: RFC822 Name=IWUser0@ndesvenkatb.onmicrosoft.com

AltNameTypeUpn: jeśli ten typ nie zostanie odnaleziony w nazwie SAN, łącznik certyfikatu usługi użyje wartości typu AltNameTypeEmail.AltNameTypeUpn: If this type is not found in the SAN, Intune Certificate Connector uses the value from AltNameTypeEmail. Jeśli typ AltNameTypeEmail również nie zostanie odnaleziony w nazwie SAN, łącznik certyfikatów usługi Intune używa wartości nazwy podmiotu, o ile jest ona w formacie adresu e-mail.If AltNameTypeEmail is also not found in the SAN, then Intune Certificate Connector uses the value from subject name if it's in email format. Jeśli typ nadal nie zostanie odnaleziony, łącznik certyfikatów usługi Intune nie będzie mógł wystawiać certyfikatów.If the type is still not found, Intune Certificate Connector fails to issue the certificates.

Przykład: Other Name: Principal Name=IWUser0@ndesvenkatb.onmicrosoft.comExample: Other Name: Principal Name=IWUser0@ndesvenkatb.onmicrosoft.com

AltNameTypeOtherName: jeśli ten typ nie zostanie odnaleziony w nazwie SAN, łącznik certyfikatów usługi Intune nie będzie mógł wystawiać certyfikatów.AltNameTypeOtherName: If this type isn't found in the SAN, Intune Certificate Connector fails to issue the certificates.

Przykład: Other Name: DS Object Guid=04 12 b8 ba 65 41 f2 d4 07 41 a9 f7 47 08 f3 e4 28 5c ef 2cExample: Other Name: DS Object Guid=04 12 b8 ba 65 41 f2 d4 07 41 a9 f7 47 08 f3 e4 28 5c ef 2c

Wartość tego pola jest obsługiwana przez urząd certyfikacji firmy DigiCert tylko w formacie zakodowanym (wartość szesnastkowa).The value of this field is supported only in encoded format (hexadecimal value) by the DigiCert CA. Tak więc łącznik certyfikatów usługi Intune konwertuje wszystkie wartości w tym polu na wartość szyfrowaną przy użyciu kodowania base64 przed przesłaniem żądania certyfikatu.For any value in this field, Intune Certificate Connector converts it to base64 encoding before it submits the certificate request. Łącznik certyfikatów usługi Intune nie weryfikuje, czy ta wartość została już zaszyfrowana czy nie.Intune Certificate Connector doesn't validate whether this value is already encoded or not.
BrakNone

Rozwiązywanie problemówTroubleshooting

Dzienniki usługi łącznika certyfikatów w usłudze Intune są dostępne w folderze %ProgramFiles%\Microsoft Intune\NDESConnectorSvc\Logs\Logs na maszynie łącznika usługi NDES.Intune Certificate Connector service logs are available in %ProgramFiles%\Microsoft Intune\NDESConnectorSvc\Logs\Logs on the NDES Connector machine. Otwórz dzienniki w programie SvcTraceViewer i wyszukaj wyjątki lub komunikaty o błędach.Open the logs in SvcTraceViewer and search for exceptions or error messages.

Komunikat o problemie/błędzieIssue/error message Kroki rozwiązaniaResolution steps
Nie można zalogować się do konta administratora dzierżawy usługi Intune w interfejsie użytkownika łącznika usługi NDES.Unable to sign in with the Intune tenant admin account on NDES Connector UI. Może się tak zdarzyć, jeśli lokalny łącznik certyfikatów nie został włączony w centrum administracyjnym programu Microsoft Endpoint Manager.This can happen when the on-premises certificate connector isn't enabled in the Microsoft Endpoint Manager admin center. Aby rozwiązać ten problem:To resolve this issue:

1. Zaloguj się do centrum administracyjnego programu Microsoft Endpoint Manager.1. Sign in to the Microsoft Endpoint Manager admin center.
2. Wybierz pozycję Administracja dzierżawą > Łączniki i tokeny > Łączniki certyfikatu.2. Select Tenant administration > Connectors and tokens > Certificate connectors.
3. Zlokalizuj łącznik certyfikatu i upewnij się, że został włączony.3. Locate the certificate connector and ensure it's enabled.

Po wykonaniu poprzednich kroków spróbuj zalogować się do tego samego konta administratora dzierżawy usługi Intune w interfejsie użytkownika łącznika usługi NDES.After you complete the previous steps, try to sign in with the same Intune tenant admin account in the NDES Connector UI.
Nie można odnaleźć certyfikatu łącznika usługi NDES.NDES Connector certificate could not be found.

System.ArgumentNullException: Wartość nie może być równa null.System.ArgumentNullException: Value can't be null.
Łącznik certyfikatów usługi Intune wyświetla ten błąd, jeśli konto administratora dzierżawy usługi Intune nigdy nie zostało użyte do logowania do interfejsu użytkownika łącznika usługi NDES.Intune Certificate Connector shows this error if the Intune tenant administrator account has never signed in to the NDES Connector UI.

Jeśli ten błąd będzie nadal występować, uruchom ponownie łącznik usługi Intune.If this error persists, restart Intune Service Connector.

1. Otwórz program services.msc.1. Open services.msc.
2. Wybierz opcję Usługa łącznika usługi Intune.2. Select Intune Connector Service.
3. Kliknij prawym przyciskiem myszy i wybierz polecenie Uruchom ponownie.3. Right-click and select Restart.
Łącznik usługi NDES — IssuePfx — Wyjątek ogólny:NDES Connector - IssuePfx -Generic Exception:
System.NullReferenceException: odwołanie obiektu nie zostało ustawione na wystąpienie obiektu.System.NullReferenceException: Object reference not set to an instance of an object.
Ten błąd jest przejściowy.This error is transient. Uruchom ponownie łącznik usługi Intune.Restart Intune Service Connector.

1. Otwórz program services.msc.1. Open services.msc.
2. Wybierz opcję Usługa łącznika usługi Intune.2. Select Intune Connector Service.
3. Kliknij prawym przyciskiem myszy i wybierz polecenie Uruchom ponownie.3. Right-click and select Restart.
Dostawca DigiCert — nie można pobrać zasad DigiCert.DigiCert Provider - Failed to get DigiCert policy.

„Upłynął limit czasu operacji”."The operation has timed out."
Łącznik certyfikatów usługi Intune odebrał błąd limitu czasu operacji podczas komunikacji z urzędem certyfikacji firmy DigiCert.Intune Certificate Connector received an operation time-out error while communicating with the DigiCert CA. Jeśli ten błąd będzie nadal występować, zwiększ wartość limitu czasu połączenia i spróbuj ponownie.If this error continues to occur, increase the connection time-out value and try again.

Aby zwiększyć limit czasu połączenia:To increase the connection time-out:
1. Przejdź do komputera z łącznikiem usługi NDES.1. Go to the NDES Connector computer.
2. Otwórz plik %ProgramFiles%\Microsoft Intune\NDESConnectorSvc\NDESConnector.exe.config w Notatniku.2. Open the %ProgramFiles%\Microsoft Intune\NDESConnectorSvc\NDESConnector.exe.config file in Notepad.
3. Zwiększ wartość limitu czasu dla następującego parametru:3. Increase the time-out value for the following parameter:

CloudCAConnTimeoutInMilliseconds

4. Uruchom ponownie usługę łącznika certyfikatów usługi Intune.4. Restart the Intune Certificate Connector service.

Jeśli problem będzie nadal występować, skontaktuj się z pomocą techniczną firmy DigiCert.If the issue persists, contact DigiCert customer support.
Dostawca DigiCert — nie można pobrać certyfikatu klienta.DigiCert Provider - Failed to get client certificate. Łącznik certyfikatów usługi Intune nie może pobrać certyfikatu autoryzacji zasobów z magazynu certyfikatów Komputer lokalny-Osobiste.Intune Certificate Connector failed to retrieve the resource authorization certificate from the Local Machine-Personal certificate store. Aby rozwiązać ten problem, zainstaluj certyfikat autoryzacji zasobów wraz z kluczem prywatnym w magazynie certyfikatów Komputer lokalny-Osobiste.To resolve this issue, install the resource authorization certificate in the Local Machine-Personal certificate store along with its private key.

Certyfikat autoryzacji zasobów musi pochodzić z urzędu certyfikacji firmy DigiCert.The resource authorization certificate must be obtained from the DigiCert CA. Aby uzyskać więcej szczegółowych informacji, skontaktuj się z pomocą techniczną firmy DigiCert.For more details, contact DigiCert customer support.
Dostawca DigiCert — nie można pobrać zasad DigiCert.DigiCert Provider - Failed to get DigiCert policy.

„Żądanie zostało przerwane: nie można utworzyć bezpiecznego kanału SSL/TLS”."The request was aborted: Could not create SSL/TLS secure channel."
Ten błąd występuje w następujących scenariuszach:This error occurs under the following scenarios:

1. Usługa łącznika certyfikatów usługi Intune nie ma uprawnień do odczytu certyfikatu autoryzacji zasobów wraz z kluczem prywatnym z magazynu certyfikatów Komputer lokalny-Osobiste.1. The Intune Certificate Connector service doesn't have permissions to read the resource authorization certificate along with its private key from the Local Machine-Personal certificate store. Aby rozwiązać ten problem, sprawdź konto kontekstu, w którym została uruchomiona usługa łącznika, w pliku services.msc.To resolve this issue, check the connector service's running context account in services.msc. Usługa łącznika musi zostać uruchomiona w kontekście NT AUTHORITY\SYSTEM.The connector service must run under the NT AUTHORITY\SYSTEM context.

2. Profil certyfikatu PKCS w portalu administracyjnym usługi Intune może zostać skonfigurowany przy użyciu nieprawidłowej nazwy FQDN usługi podstawowej urzędu certyfikacji firmy DigiCert.2. The PKCS certificate profile in the Intune admin portal might be configured with an invalid base service FQDN for the DigiCert CA. Nazwa FQDN jest podobna do następującej: pki-ws.symauth.com.The FQDN is similar to pki-ws.symauth.com. Aby rozwiązać ten problem, skontaktuj się z pomocą techniczną firmy DigiCert i sprawdź, czy adres URL dla Twojej subskrypcji jest poprawny.To resolve this issue, check with DigiCert customer support whether the URL is correct for your subscription.

3. Łącznik certyfikatów usługi Intune nie może uwierzytelniać przy użyciu urzędu certyfikacji firmy DigiCert korzystającego z certyfikatu autoryzacji zasobów, ponieważ nie może pobrać klucza prywatnego.3. Intune Certificate Connector fails to authenticate with the DigiCert CA through the resource authorization certificate because it can't retrieve the private key. Aby rozwiązać ten problem, zainstaluj certyfikat autoryzacji zasobów wraz z kluczem prywatnym w magazynie certyfikatów Komputer lokalny-Osobiste.To resolve this issue, install the resource authorization certificate along with its private key in the Local Machine-Personal certificate store.

Jeśli problem będzie nadal występować, skontaktuj się z pomocą techniczną firmy DigiCert.If the issue persists, contact DigiCert customer support.
Dostawca DigiCert — nie można pobrać zasad DigiCert.DigiCert Provider - Failed to get DigiCert policy.

„Element żądania jest niezrozumiały”."A request element is not understood."
Łącznik certyfikatów usługi Intune nie może pobrać szablonu profilu certyfikatu firmy DigiCert, ponieważ identyfikator OID profilu klienta nie jest zgodny z profilem certyfikatu usługi Intune.Intune Certificate Connector failed to get the DigiCert certificate profile template, because the client profile OID doesn't match the Intune certificate profile. Może być też tak, że łącznik certyfikatów usługi Intune nie może odnaleźć szablonu profilu certyfikatu skojarzonego z danym identyfikatorem OID profilu klienta w urzędzie certyfikacji firmy DigiCert.In another case, Intune Certificate Connector can't find the certificate profile template that's associated with the client profile OID in the DigiCert CA.

Aby rozwiązać ten problem, uzyskaj prawidłowy identyfikator OID profilu klienta z szablonu certyfikatu firmy DigiCert w urzędzie certyfikacji firmy DigiCert.To resolve this issue, obtain the correct Client Profile OID from the DigiCert Certificate template in the DigiCert CA. Następnie zaktualizuj profil certyfikatu PKCS w portalu administracyjnym usługi Intune.Then update the PKCS certificate profile in the Intune admin portal.

Uzyskaj identyfikator OID profilu klienta z urzędu certyfikacji firmy DigiCert:Obtain the client profile OID from the DigiCert CA:
1. Zaloguj się do portalu administracyjnego urzędu certyfikacji DigiCert.1. Sign in to the DigiCert CA admin portal.
2. Kliknij pozycję Manage Certificate Profiles (Zarządzaj profilami certyfikatów).2. Select Manage Certificate Profiles.
3. Wybierz profil certyfikatu, którego chcesz użyć.3. Select the certificate profile that you want to use.
4. Pobierz identyfikator OID profilu certyfikatu.4. Get the certificate profile OID. Będzie on podobny do poniższego przykładu:It looks similar to the following example:
Certificate Profile OID = 2.16.840.1.113733.1.16.1.2.3.1.1.47196109

Zaktualizuj profil certyfikatu PKCS przy użyciu poprawnego identyfikatora OID profilu certyfikatu:Update the PKCS certificate profile with the correct certificate Profile OID:
1. Zaloguj się do portalu administracyjnego usługi Intune.1. Sign in to the Intune admin portal.
2. Przejdź do profilu certyfikatu PKCS i wybierz pozycję Edytuj.2. Go to the PKCS certificate profile and select Edit.
3. Zaktualizuj identyfikator OID profilu certyfikatu w polu nazwy szablonu certyfikatu.3. Update the certificate profile OID in the field for the certificate template name.
4. Zapisz profil certyfikatu PKCS.4. Save the PKCS certificate profile.
Dostawca DigiCert — nie można zweryfikować zasad.DigiCert Provider - Policy verification failed.

Atrybut nie występuje na liście atrybutów szablonu certyfikatu obsługiwanych przez firmę DigiCert.The attribute doesn't fall under the DigiCert supported certificate template attributes list.
Urząd certyfikacji firmy DigiCert wyświetla ten komunikat, jeśli wystąpi rozbieżność między szablonem profilu certyfikatu firmy DigiCert a profilem certyfikatu usługi Intune.The DigiCert CA shows this message when there's a discrepancy between the DigiCert certificate profile template and the Intune certificate profile. Ten problem wynika najprawdopodobniej z niezgodności atrybutów SubjectName lub SubjectAltName.This issue likely happened due to attribute mismatch in SubjectName or SubjectAltName.

Aby rozwiązać ten problem, wybierz wartości obsługiwane przez usługę Intune dla atrybutów SubjectName i SubjectAltName w szablonie profilu certyfikatu firmy DigiCert.To resolve this issue, select Intune supported attributes for SubjectName and SubjectAltName in the DigiCert certificate profile template. Aby uzyskać więcej informacji, zobacz atrybuty obsługiwane przez usługę Intune w sekcji Parametry certyfikatu.For more information, see the Intune supported attributes in the Certificate Parameters section.
Niektóre urządzenia użytkownika nie odbierają certyfikatów PKCS z urzędu certyfikacji firmy DigiCert.Some user devices are not receiving PKCS certificates from the DigiCert CA. Ten problem występuje, jeśli nazwa UPN użytkownika zawiera znaki specjalne, np. podkreślenie (przykład: global_admin@intune.onmicrosoft.com).This issue happens when the user UPN contains special characters like an underscore (example: global_admin@intune.onmicrosoft.com).

Urząd certyfikacji firmy DigiCert nie obsługuje znaków specjalnych w typach mail_firstname i mail_lastname.The DigiCert CA doesn't support special characters in mail_firstname and mail_lastname.

Aby rozwiązać ten problem, wykonaj następujące czynności:The following steps help resolve this issue:

1. Zaloguj się do portalu administracyjnego urzędu certyfikacji DigiCert.1. Sign in to the DigiCert CA admin portal.
2. Przejdź do pozycji Manage Certificate Profiles (Zarządzaj profilami certyfikatów).2. Go to Manage Certificate Profiles.
3. Kliknij profil certyfikatu używany dla usługi Intune.3. Select the certificate profile used for Intune.
4. Kliknij link Customize options (Dostosuj opcje).4. Select the Customize options link.
5. Kliknij przycisk Advanced options (Opcje zaawansowane).5. Select the Advanced options button.
6. W obszarze Certificate fields – Subject DN (Pola certyfikatu — nazwa wyróżniająca podmiotu) dodaj pole Common Name (CN) (Nazwa pospolita (CN)) i usuń istniejące pole Common Name (CN) (Nazwa pospolita (CN)).6. Under Certificate fields – Subject DN, add a Common Name (CN) field and delete the existing Common Name (CN) field. Dodawanie i usuwanie musi być wykonywane jednocześnie.Add and delete operations must be performed together.
7. Wybierz pozycję Zapisz.7. Select Save.

Po wykonaniu powyższej zmiany profil certyfikatu firmy DigiCert żąda typu „CN= zamiast typów mail_firstname i mail_lastname.With the preceding change, the DigiCert certificate profile requests "CN=" instead of mail_firstname and mail_lastname.
Użytkownik ręcznie usunął już wdrożony certyfikat z urządzenia.User manually deleted already deployed certificate from the device. Usługa Intune ponownie wdraża ten sam certyfikat podczas następnego zaewidencjonowania lub wymuszania zasad.Intune redeploys the same certificate during the next check-in or policy enforcement. W takim przypadku łącznik usługi NDES nie odbiera żądania certyfikatu PKCS.In this case, NDES Connector doesn't receive a PKCS certificate request.

Następne krokiNext steps

Informacje zawarte w tym artykule oraz w temacie Co to są profile urządzeń w usłudze Microsoft Intune? są przydatne podczas zarządzania urządzeniami w organizacji oraz ich certyfikatami.Use the information in this article in addition to the information in What are Microsoft Intune device profiles? to manage your organization's devices and the certificates on them.